twitter

A “saúde” da cibersegurança no setor da saúde

A chamada “transformação digital”, que não é mais que o caminho normal da digitalização dos processos, no setor da saúde, em específico, implica a adoção urgente de medidas robustas de cibersegurança.

Quando falamos de cibersegurança e ciberataques indiferenciadamente para qualquer setor de atividade, pelo impacto que os incidentes derivados podem ter no comprometimento dos dados tratados pelas organizações, consideramos tratar-se de matéria de alto nível de criticidade e relevância. No entanto, interessa referir que este tema é especialmente preocupante para o setor da saúde, uma vez que pode não só ameaçar a segurança dos sistemas e informação, mas também a própria saúde dos utentes.

Se olharmos para os dados usualmente tratados em processos de saúde, verificamos que contêm um conjunto abrangente de dados sensíveis, incluindo a identificação pessoal e o histórico clínico completo. Dada a “hipersensibilidade” da informação contida e o quadro legal existente, atendendo, nomeadamente, às imposições do Regulamento Geral de Proteção de Dados (RGPD) e do Regime Jurídico de Segurança do Ciberespaço (RJSC), a saúde é atualmente o setor mais ameaçado em todo o mundo pela indústria do cibercrime, cada vez mais profissionalizada e especializada.

E o impacto dos ataques reflete-se a vários níveis:

Dimensão financeira;

Roubo da identidade pessoal;

Acesso indevido aos processos e histórico clínicos;

Comprometimento da segurança e saúde dos utentes;

Notificações e contraordenações das Autoridades de Controlo;

Reputação!

Assim, este setor assume no presente, particularmente e distintivamente, determinados desafios no que diz respeito à cibersegurança, sendo importante destacar:

Dados elevadamente sensíveis e rentáveis

A sensibilidade e o valor dos dados de saúde traduzem-se num maior interesse da indústria do cibercrime, sendo imprescindível uma adequada resposta por parte das entidades do setor, por meio da implementação de processos e sistemas que se traduzam numa elevada capacidade de resiliência a incidentes e ataques de cibersegurança.

Infraestrutura tecnológica complexa

Os sistemas informáticos na área da saúde incluem um emaranhado de soluções tecnológicas mais recentes e mais antigas, potenciando vulnerabilidades de segurança face a inúmeras ameaças relacionadas, incluindo a desadequação de tecnologias antigas às exigências atuais de segurança e os sistemas de integração entre aplicações por vezes desprotegidos e/ou com lacunas graves de segurança.

Mudança repentina para plataformas digitais

Com a pandemia COVID19 e o aceleramento brusco da adoção de registos de saúde eletrónicos e da telemedicina, veio todo um novo quadro de exposição para o setor que se reflete em novas exigências e medidas de cibersegurança.

Novos quadros regulamentares

As entidades são obrigadas ao cumprimento de procedimentos de cibersegurança e proteção de dados, aumentando a carga de trabalho e diligências face aos imperativos legais.

Ameaças à segurança interna

Os riscos internos existentes, face ao fator humano (colaboradores), por negligência ou propositadamente, são uma clara e enorme ameaça neste setor.

Por tudo isto, existem os regulamentos que agora se impõem implementar, particularmente para os prestadores de cuidados de saúde. Estes regimes devem servir manifestamente o propósito de criar maiores e melhores condições de segurança e proteção dos dados confiados e tratados pelas organizações responsáveis. Não se trata apenas do cumprimento de obrigações legais, mas sim da criação desses mecanismos essenciais para a salvaguarda da informação.

E entenda-se que a conformidade legal é apenas o ponto de partida, uma vez que todo o quadro de ameaças está em constante evolução e, consequentemente, as leis e as estratégias de aplicação terão de evoluir de forma a darem resposta a todo este ecossistema digital.

Pedro Vital

Pedro Vital

27 novembro 2024